Com os problemas decorrentes da pandemia causada pelo COVID-19 e o estado de emergência da saúde, a maior parte dos países adotou medidas de isolamento social. Atualmente, passa-se por uma fase de vacinação, o que envolve situações relacionadas com a proteção de dados pessoais sensíveis, especialmente sobre a identificação das pessoas vacinadas.
Em Portugal, o Coordenador da força-tarefa de vacinação (Task Force da Vacinação contra a Covid-19) enviou ao Ministério da Saúde um pedido de acesso a determinados dados de pessoas vacinadas, de pessoas que contraíram a doença (ou seja, que realizaram testes com resultado positivo) e também de pessoas que ficaram internadas em virtude da doença.
Diante disso, a Ministra da Saúde encaminhou uma consulta à Comissão Nacional de Proteção de Dados (a CNPD, que é o órgão nacional de proteção de dados de Portugal), que emitiu o Parecer 2021/108, no dia 18 de agosto de 2021.
No parecer, além de concluir pela possibilidade do tratamento dos dados pessoais requeridos pelo Coordenador da força-tarefa de vacinação, sugeriu algumas medidas de segurança da informação, para prevenir incidentes, registrar os acessos e assegurar a auditabilidade do tratamento.
Em primeiro lugar (e conforme o pedido do coordenador da força-tarefa), o tratamento é realizado a partir da identificação das pessoas pelo número do SNS do Serviço Nacional de Saúde (e não pelo nome), o que seria equivalente ao número de cadastro no SUS no Brasil.
Além disso, a pesquisa e seleção de pessoas ocorre com base na data de nascimento, na área de residência e na vacina aplicada (marca e quantidade de doses).
Apesar de a pesquisa não ser realizada pelo nome, compreende dados pessoais, porque permitem a identificação dos titulares, mas é uma identificação indireta (e mais difícil de identificar o titular), o que levou a CNPD a enquadrá-la como uma pseudoanonimização.
A CNPD de Portugal se manifestou de forma favorável a esse tipo de acesso aos dados registrados na base de dados do Ministério da Saúde e acrescentou algumas medidas de segurança e de prevenção para ser adotadas, a fim de evitar incidentes e permitir o registro e a conferência das atividades de tratamento realizadas. Entre elas, está a identificação individual das pessoas que vão acessar esses dados do Ministério da Saúde (com login e senha únicos para cada pessoa que vai realizar o acesso), a necessidade de auditabilidade (para a verificação posterior de quem realizou os acessos, quantos acessos fez e que dados foram acessados), a fim de garantir a proteção dos dados das pessoas na base nacional do Ministério da Saúde português.